DB44／T 2375-2022  信息系统内部风险管理基本要求

按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术 方法，提高实现安全保障目标的有效性和效率。

DB44/T23752022

信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理 内容合法、管理程序合法。对安全事件的处理建筑工程标准规范范本，应依法适时发布准确一致的有关信息，避免带来不良的 社会影响。

对特定职能岗位或责任领域的管理功能实施职责分离和独立审计，应确保线上职权与线下职权 应，遵循管理、业务、技术的“三权分立”，电子业务岗负责业务运营、电子技术岗负责技术 子监察审计岗负责监督审计

4.6管理与技术并重原则

集中所带来的隐惠，以减少未授权的修改或滥用 岗位履行职能的最小权限

坚持积极防御和综合防范，全面提高风险控制应对能力，立足国情，采用管理与技术相结合， 学性和技术前瞻性相结合的方法，保障信息系统的安全性达到所要求的目标

遵循系统安全工程理念，对信息系统全生 偏差、分析成因、研究纠偏对策、 确保信息系统内部风险可管、过程可控。

安全管理是一种动态反馈过程，贯穿整个安全管理的生命周期。应根据业务的变化、系统环境 、系统的脆弱性以及面临的威胁等因素，及时调整现有安全策略、风险接受程度和安全防护措施 期性的对信息系统安全状态进行复查、修改和调整，以调整安全管理等级，维护和改进信息安全 系。

本项要求主要包括： a）应制定信息系统内部风险管理的总体规划，包含但不限于计划安排、人员配置、资金配置等； b）应对总体规划开展内部组织评审、发布、宣贯，且过程记录完整、可读； c）宜以信息技术为支撑，积极推进职权电子化，结合实际业务工作开展风险管理； d 应积极推进内部事务职权电子化进程，采用信息技术手段对组织内部的人、财、物管理等权 力的使用进行监管； e 应建立完善的信息系统管理风险评估与控制程序，包括但不限于风险识别、风险定级、风险 处置、风险例外处置策略等； f）应配合业务主管部门、监管部门对组织开展信息系统内部风险管理落实情况的监督检查工作。

DB44/T 23752022

a) 应符合国家网络安全相关法律法规及标准要求； b 应建立健全组织法规库，形成法规要求的业务流程及业务关键控制点清单； C 应对信息系统内部风险管理涉及的相关法律法规及标准要求进行梳理，形成合规性要求列表； d 应按照相关法规及标准要求设定电子岗位； 应按照相关法规及标准要求设定信息系统的业务流程； 士 应按照相关法规及标准要求设定信息系统的业务关键控制点； g）宜采用自主安全的信息技术、服务及产品建设信息系统

5.3职权电子化管理要求

本项要求主要包括： a 应明确职权电子化过程中的对应关系（见附录A），确定线上职权与线下职权在组织中的岗位职 责、业务流程和账号权限等方面获得准确映射或嵌入； b 应设立电子业务管理岗，负责信息系统的业务功能、业务流程、访问方式、权限等设定，监 控业务的正常运行，避免业务岗位之间存在越权或绕权： C 应设立电子人事岗，负责信息系统的组织架构、业务部门、责任岗位、人员账号初始化等人 事信息的设定，监控人事信息的非法变动； d 应设立电子财务岗，负责财务信息系统电子业务权力的行使： e 应设立电子监察审计岗，负责监督、审查电子业务权力和电子技术权力的行使，避免电子业 务管理岗、电子人事岗、电子财务岗、电子技术岗参与业务运作，确保各岗位独立运行，排 除岗位间相互干预及隐惠： 应对职权电子化后的电子岗位进行权限设计，建立电子岗位权限清单； g 应明确电子岗位角色权力事项名称、内容、行使主体、法律法规制度依据、监督方式等； h 应依据法规要求建立职权电子化控制流程，形成电子岗位的权责不兼容矩阵，固化电子岗位 权限运行流程： 1 应根据决策、执行、监督互为独立的原则进行分岗分责，实现同一业务不同岗位、同一流程 不同环节的相互制约，重点满足业务部门与技术部门的权责分离； 宜建立职权电子化需求编制与变更的评审机制，确保职权电子化过程得到有效控制，包括职 权电子化的需求提出、审核、审批等各个环节，并实现全程留痕； K 应建立全程留痕机制，留痕内容应包括但不限于可研报告、立项书、招投标文件、系统概设 与详设文档、开发人员保密协议承诺、测试报告、系统功能说明、系统操作维护手册、验收 文档等相关审批情况与文档记录。

5.4电子权力运行管理要求

本项要求主要包括： a）应对信息系统开展上线前的风险评估，评估范围包括但不限于信息系统自身、网络设备、安 全设备、数据处理全流程等，评估内容包括但不限于法律合规、逻辑设计、编码漏洞、网络 安全风险、数据安全风险等： b） 应建立电子业务权力岗位角色与权限清单，包括但不限于业务部门、电子业务岗位、电子业 务岗位人员、电子业务账号、电子职责等： c 应建立电子技术权力岗位角色与权限清单，包括但不限于业务部门、电子技术岗位、电子技 术岗位人员、系统平台账号、电子职责等； d 应建立电子业务权力运行流程图，包括但不限于业务受控因素、业务流全过程、业务节点输 入输出信息、业务节点对应电子岗位等：

DB44/T23752022

e）应建立电子技术权力运行流程图，包括但不限于业务信息存储和访问的流程、业务对应的应 用模块、信息平台对应电子技术岗位、主机设备架构、主机对应的电子技术岗位、网络及网 络设备架构、网络对应的电子技术岗位、监督系统等； 应识别电子业务权力运行风险点，包括但不限于权限设置不合理、无明确的权力保管要求、 误操作、用户操作抵赖、职责不清、职责未有效分离、绕权、越权等风险； g 应识别电子技术权力运行风险点，包括但不限于职责不清、职责未有效分离、权力无明确保 管要求、重要参数和策略设置不合理、业务系统安装及更新维护管理不规范、安全维护不规 范、数据维护和备份管理不规范、没有例外的处理机制、运维操作无审计、无主机自身的安 全保障机制、主机不可用等风险； h 应建立电子权力运行风险点列表，包括但不限于业务部门、电子岗位、账号信息、权力对应 的业务流程节点、风险编号、风险描述、控制目标等信息； 1 应对电子权力运行风险进行分析，明确风险点、风险控制目标、现有控制措施、风险评价结 果、风险描述、风险严重程度、残余风险分析结果等信息，并提出风险控制措施； 应建立有效的电子权力行使主体身份的识别、验证与管理机制，包括唯一性识别、多因素认 证以及安全性管理； 应对电子权力运行全过程进行监控，包括权力行使主体、时间、内容、结果等； 1）宜建立电子权力运行预警与处置机制，实现电子权力管理风险的事前提醒、事中监督和事后 追溯； m）宜对时效性要求高的重要电子权力承载主体，建立相应的机制，保障权限运行的连续性； n）应采用规划、设计和技术手段限制或消除特权电子权力的运行； 应对电子权力运行情况进行定期审计，审计范围应涵盖电子业务权力运行情况与电子技术权 力运行情况，具体内容应包含操作主体、事件、操作内容、合规性情况、异常信息等； 应建立电子权力运行全过程留痕与追溯机制，增强关键日志的可读性，实现重要数据更改的 日志报警，留痕信息保留限期应符合相关法律法规要求： 宜对承载电子权力运行的主体变更建立完整的变更控制程序、流程和记录，并保留变更控制 相关记录； 宜对重要电子业务权力运行主体保留原始主体及其变更主体源代码的完整记录。

5.5敏感数据保护要求

应依法建立数据分类分级规范，确定组织的重要数据具体目录，对列入目录的数据进行重点 保护； b 应对敏感数据进行标识，形成敏感数据资产列表，不限于公民个人、公共管理、信息传播、 行业领域、组织经营等维度数据； 应加强数据安全风险监测，识别数据安全缺陷、漏洞等风险，对重要数据的数据处理活动定 期开展风险评估，并向有关主管部门报送风险评估报告； d 应建立健全全流程数据安全管理制度，明确数据安全负责人和管理机构，落实数据安全保护 责任； 应采取技术措施保护数据全生命周期各阶段的数据安全，对敏感数据变更、数据高风险操作 和敏感数据访问进行全流程管控和审计； 宜采用密码技术保障数据的机密性、完整性、可用性、真实性、不可否认性等属性不受侵害； 可利用数据资产管理、数据安全管控、数据安全威胁感知等技术对数据资产的安全属性进行 有效监管。

DB44/T 23752022

5.6持续改进机制要求

本项要求主要包括： a) 应围绕信息系统内部风险管理工作，在组织内部建立自查、互查等完善的督查机制； b 应每年定期对信息系统内部风险管理开展自评估，根据评估结果整改并修订内部控制策略； C 应每年定期对信息系统内部风险管理落实情况进行检查； d 应积极开展对业务主管部门、监督检查部门以及内部检查工作中发现的信息系统内部风险管 理控制缺陷的评估与处置： e 应指定相关业务部门和人员负责组织的信息系统内部风险管理评估工作，并负责风险的处置 f 应定期开展信息系统内部风险管理工作的监督检查，并向有关主管部门报送监督检查结果； g 应定期对重要的录入数据或原始数据进行完整性、可用性和真实性审计； h 应定期对重大电子权力的运行操作进行稽核； 应定期对内控例外策略的执行情况进行检查； J 宜在内外部环境、业务活动或管理要求发生重大变化时组织开展检查，并对发现的问题予以 改进； k 应不定期委托第三方机构对自身信息系统内部风险管理工作进行评估，评估报告应作为本单 位建立责任制考核的参考。

本项要求主要包括： a）应定期开展信息系统内部风险管理的教育、培训和宣传活动，验证活动效果出口产品标准，纳入考核体系， 并做好资料归档； b）应不定期的组织人员参加相关专业的继续教育，重要岗位人员应持有国家相关网络安全专业 认证证书。

DB44/T23752022

附录A （资料性） 职权电子化过程中的对应关系

在信息化建设过程中，将线 统各个业务功能、权限控制、信息平台 从而衍生出线上电子业务权力和电 即为职权电子化过程，如图A.1所示。

图A.1职权电子化过程示意图

概权电于代性的对大系下： a）线上职权与线下职权两者对应的业务部门、责任岗位和人员必须保持一致； 电子业务权力与电子技术权力两者对应的所有者不为同一人； 电子业务权力通过电子岗位人员的信息系统账号和权限进行行使，涉及的电子岗位包括电子 业务管理岗、电子人事岗、电子财务岗、电子监察审计岗和其他电子业务岗，且与线下业务 岗位保持对应； d 电子技术权力通过支撑信息系统运行的平台账号和权限进行行使，涉及的岗位包括但不限于 系统管理员、数据库管理员、网络管理员、安全管理员等。

生活垃圾标准规范范本DB44/T 23752022